Outro dia, outra vulnerabilidade. Você ouviu sobre o bug execução remota de código recentemente revelado em toda a (exceto o mais recente) ESET Endpoint Antivirus 6 para MacOS? A vulnerabilidade em questão foi identificado como CVE-2016-9892.
A vulnerabilidade foi descoberta e relatada por pesquisadores da equipe de segurança do Google (Jason Geffner e Jan Bee). Quanto ao motivo de estar lá para ser encontrado em primeiro lugar – O serviço esets_daemon está estaticamente vinculado a uma versão desatualizada da biblioteca do analisador XML POCO.
CVE-2016-9892 explicado pelos especialistas em segurança:
O serviço esets_daemon, que roda como root, está estaticamente vinculado a uma versão desatualizada da biblioteca do analisador POCO XML (https://pocoproject.org/) — versão 1.4.6p1 de 2013-03-06. Esta versão do POCO é baseada no Expat (https://expat.sourceforge.net/) versão 2.0.1 de 2007-06-05, que tem uma vulnerabilidade de análise de XML publicamente conhecida (CVE-2016-0718) que permite a execução de código arbitrário por meio de conteúdo XML malformado.
além disso, “quando o ESET Endpoint Antivirus tenta ativar sua licença, esets_daemon envia uma solicitação para https://edf.eset.com/edf. O serviço esets_daemon não valida o certificado do servidor web, para que um intermediário possa interceptar a solicitação e responder usando um certificado HTTPS autoassinado. O serviço esets_daemon analisa a resposta como um documento XML, permitindo assim que o invasor forneça conteúdo malformado e explore o CVE-2016-0718 para obter a execução arbitrária de código como root.”
Mitigação contra CVE-2016-9892
CVE-2016-9892 já foi corrigido. Para fazê-lo, ESET atualizou a biblioteca de análise POCO para a compilação mais recente.
O fornecedor de segurança corrigiu o bug na versão ESET Endpoint Antivirus 6.4.168.0.
Os pesquisadores do Google aconselham os usuários a fazer logon a partir da alteração do produto aqui.
Mais informações disponíveis em https://seclists.org.